kiltum (kiltum) wrote,
kiltum
kiltum

Да, для интересующихся: рассказка пополнилась логом заведения связки wifi (EAP-PEAP) - radius - ldap. Судя по всему, полноценный EAP-TLS поднять не получится по одной простой причине: модуль eap в freeradius ничего не знает ни про PKI, ни про LDAP. В итоге он просто проверяет у клиентского сертификата подпись удостоверяющего центра (может еще по хешам revocation пробежаться) ... и всё. Дальше юзает и не мучается.

То есть пока вполне прокатывает ситуация: юзер заимел сертификат и логин-пароль. А потом его уволили. Ежели в CRL его не занесли, то он сможетдойти до стадии проверка логина\пароля. Нет что бы в LDAP глянуть ... Ну хоть не за сертификатом от юзверя, так хотя бы за егойным хешем ...

В общем, пока смотрю, может как-нить по другому можно будет извернуться ...

И что самое обидное, ни один из VPN-серверов в LDAP не умеет лазить. В итоге LDAP получается как централизованная хранилка логинов-паролей :-(. Всякие адресные книги - эт по дефаулту ... ничего нового. BTW, я пока для VPN openvpn заиспользовал. Ибо PPTP и ipsec что бы работали, надо их специально на роутере пропускать. А этому обычного маскарадинга за глаза хватает или даже банального http прокси ...
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 3 comments